{"id":218889,"date":"2019-06-06T08:39:49","date_gmt":"2019-06-06T06:39:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218889"},"modified":"2023-02-13T03:42:28","modified_gmt":"2023-02-13T02:42:28","slug":"windows-rdp-network-level-authentication-kann-sperrbildschirm-umgehen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/06\/windows-rdp-network-level-authentication-kann-sperrbildschirm-umgehen\/","title":{"rendered":"Windows RDP Network Level Authentication kann Sperrbildschirm umgehen"},"content":{"rendered":"

[English<\/a>]Das CERT Coordination Center weist in einem aktuellen Artikel darauf hin, dass eine Microsoft Windows RDP Network Level Authentication auch bei einem per LockScreen gesperrten Windows funktioniert. <\/p>\n

<\/p>\n

\"\"Ich stelle das hier kurz ein, da die Meldung Microsoft Windows RDP Network Level Authentication can bypass the Windows lock screen<\/a> gerade vom CERT ver\u00f6ffentlicht wurde \u2013 1ST1 hatte in diesem Kommentar<\/a> im Blog bereits auf einen Artikel von The Hacker News<\/a> zum Thema verwiesen \u2013 und ich hatte es auch auf Twitter vor ein paar Tagen gesehen. <\/p>\n

\"KRITIS-Netzwerk\"
(Quelle: Pexels Markus Spiske<\/a> CC0 Lizenz) <\/p>\n

Worum geht es?<\/h2>\n<\/p>\n

Microsoft Windows Remote Desktop unterst\u00fctzt eine Funktion namens Network Level Authentication (NLA)<\/a>, die den Authentifizierungsaspekt einer Remote-Sitzung von der RDP-Schicht auf die Netzwerkschicht verschiebt. Der Einsatz von NLA wird empfohlen<\/a>, um die Angriffsfl\u00e4che von Systemen zu reduzieren, die mit dem RDP-Protokoll exponiert sind. Unter Windows kann eine Sitzung durch den Benutzer gesperrt werden, wodurch der am Bildschirm ein LockScreen erscheint. Dieser erfordert vom Benutzer eine Authentifizierung, um die Sitzung weiter nutzen zu k\u00f6nnen. Das Sperren von Sitzungen kann auch \u00fcber RDP erfolgen, und zwar in der gleichen Weise, wie eine lokale Sitzung gesperrt werden kann. <\/p>\n

\u00c4nderung ab Windows 10 Version 1803<\/h2>\n

Seit Windows 10 1803 (ver\u00f6ffentlicht im April 2018) und Windows Server 2019 hat sich die Handhabung von NLA-basierten RDP-Sitzungen so ver\u00e4ndert, dass es zu unerwartetem Verhalten in Bezug auf das Sperren von Sitzungen kommen kann. L\u00f6st eine Netzwerkanomalie eine tempor\u00e4re RDP-Trennung aus, wird die RDP-Sitzung beim automatischen Wiederherstellen der Verbindung in einen entsperrten Zustand versetzt. Das ist leider unabh\u00e4ngig davon, wie das entfernte System verlassen wurde. Das CERT beschreibt das Szenario in seinem oben verlinkten Artikel mit folgenden Schritten: <\/p>\n

    \n
  1. Der Benutzer verbindet sich mit dem Remote Windows 10 1803 oder Server 2019 oder einem neueren System \u00fcber RDP. <\/li>\n
  2. Der Benutzer sperrt die Remote-Desktop-Sitzung. <\/li>\n
  3. \n

    Der Benutzer verl\u00e4sst die physische Umgebung des Systems, das als RDP-Client verwendet wird.<\/p>\n<\/li>\n<\/ol>\n

    An dieser Stelle kann ein Angreifer die Netzwerkverbindung des RDP-Client-Systems unterbrechen. Die RDP-Client-Software verbindet sich automatisch wieder mit dem Remote-System, sobald die Internetverbindung wiederhergestellt ist. <\/p>\n

    Aufgrund dieser Schwachstelle wird die wiederhergestellte RDP-Sitzung jedoch nicht auf dem Anmeldebildschirm, sondern auf einem angemeldeten Desktop wiederhergestellt. Dies bedeutet, dass das entfernte System entsperrt wird, ohne dass manuell Anmeldeinformationen eingegeben werden m\u00fcssen. <\/p>\n

    2FA und Login-Richtlinien werden umgangen<\/h2>\n

    Zwei-Faktor-Authentifizierungssysteme, die sich in den Windows-Anmeldebildschirm integrieren lassen, wie beispielsweise Duo Security MFA, k\u00f6nnen mit diesem Mechanismus ebenfalls umgangen werden. Die Leute bei CERT vermuten, dass andere MFA-L\u00f6sungen, die den Windows-Anmeldebildschirm nutzen, \u00e4hnlich betroffen sind. Alle Login-Richtlinien, die von einem Unternehmen durchgesetzt werden, werden ebenfalls umgangen.<\/p>\n

    Die Auswirkungen<\/h2>\n

    Durch die Unterbrechung der Netzwerkverbindung eines Systems kann ein Angreifer mit Zugriff auf ein System, das als Windows RDP-Client verwendet wird, Zugriff auf ein verbundenes entferntes System erhalten, unabh\u00e4ngig davon, ob das entfernte System gesperrt wurde oder nicht.<\/p>\n

    Dem CERT\/CC ist derzeit keine praktische L\u00f6sung f\u00fcr dieses Problem bekannt. Es werden die folgenden Workarounds empfohlen.<\/p>\n